Спецпроекты

Бюрократия IBM оставила пользователей ее ПО беззащитными перед хакерами

ПО Безопасность

Эксперты по безопасности выявили четыре серьезных уязвимости в IBM Data Risk Manager, но в IBM их отчет принимать отказались, поэтому информация об уязвимостях была опубликована. После этого в IBM поменяли решение, сославшись на процедурную ошибку, и начали решать проблемы.

У нас регламент

Программный инструмент IBM для управления портфелем проектов Data Risk Manager содержит четыре уязвимости нулевого дня, часть из которых в комбинации может позволить запускать на атакуемых системах произвольный код с повышенными правами.

Директор по исследованиям компании Agile Information Security Педро Рибейро (Pedro Ribeiro) обнаружил в IBMDataRiskManager такие проблемы как возможность обхода авторизации, инъекция команд, небезопасный предустановленный пароль и возможность скачивания произвольного файла.

Что интересно, IDRM сам по себе разработан для обнаружения, анализа и визуализации бизнес-рисков (относящихся к данным, по крайней мере).

Как выяснил Рибейро, последовательная эксплуатация первых трех уязвимостей позволит потенциальным злоумышленникам запускать произвольный код на проблемных устройствах. Комбинация первой и четвертой позволит скачивать любые данные из системы, в которой установлен IDRM. А учитывая, насколько важная бизнес-информация проходит через IDRM, угроза возникает как минимум существенная, вплоть до полной компрометации всей компании, считает Рибейро.

В IDRM могут храниться реквизиты к другим защитным инструментам сети и сведения о выявленных в ней критических уязвимостях.

IBM заделала ряд серьезных уязвимостей, которые отказывалась исправлять

Как ни странно, компания IBM отказалась принимать отчет экспертов об уязвимостях и вообще признавать их существование, сославшись на то, что отчет «выходит за рамки нашей программы обработки уязвимостей, поскольку данный продукт (IDRM) поставляется только в рамках расширенной поддержки, оплачиваемой клиентами» .

Также в IBM заявили, что для участия в данной программе исследователи не должны иметь с IBM контракт на проведение тестов безопасности для корпорации IBM, ее дочерних структур или клиентов в течение шести месяцев до подачи отчета.

Произошла чудовищная ошибка

После такого ответа Рибейро принял решение опубликовать всю информацию об уязвимостях публично, чтобы потенциальные жертвы могли принять меры самостоятельно.

В IBM в итоге пошли на попятную: представители компании заявили изданию BleepingComputer, что имела место процедурная ошибка, вследствие чего исследователь получил некорректный ответ. Вскоре IBM выпустила бюллетень безопасности, в котором говорится об исправлении двух из четырех проблем: возможность произвольного скачивания файлов и инъекцию команд. Клиентам рекомендовано обновить IDRM до версии 2.0.4.

Небезопасный предустановленный пароль пользователям настоятельно рекомендуется менять самостоятельно при первой установке. Что же касается обхода авторизации, то, как заявили в IBM, вопрос все еще исследуется. Исправление будет выпущено как можно скорее.

«По всей видимости, действительно имело место недоразумение, — считает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Выявлены совершенно очевидные проблемы, которые даже нельзя назвать сколько-нибудь экзотичными. Уязвимости такого рода обычно выявляются пентестами. А отказ принимать информацию о них в силу каких-то сугубо формальных несоответствий внутренним регламентам — это как минимум не очень достойный поступок для такой почтенной корпорации как IBM. Между тем, публикация сведений об этих багах до выпуска всех обновлений гарантирует атаки на уязвимые сети. Как минимум для части этих уязвимостей уже появились модули в Metasploit».